神奇的bat

显示全部楼层 · 发表于 2020-2-4 18:26:45

McAfee

显示全部楼层 · 发表于 2020-2-4 18:31:55

hklwk 发表于 2020-2-4 18:26
McAfee

这个...好像是易语言的通杀？

显示全部楼层 · 发表于 2020-2-4 19:02:41

本帖最后由 LSPD 于 2020-2-4 19:45 编辑

avira kill衍生物

显示全部楼层 · 发表于 2020-2-4 20:39:50

智量 kill

显示全部楼层 · 发表于 2020-2-4 21:46:03

嗯

显示全部楼层 · 发表于 2020-2-4 22:01:58

智量报释放器，火绒Miss，有空双击。。

显示全部楼层 · 发表于 2020-2-4 22:02:47

安天Miss，无BD管家Killed 。

显示全部楼层 · 发表于 2020-2-4 22:03:43

恶搞程序，360不报毒。双击运行只能拦截部分写启动项操作，开始菜单程序列表的启动没拦截。
重启后文件关联被改，开始恶搞。

显示全部楼层 · 发表于 2020-2-4 22:04:46

GD，后知后觉，桌面弄成的样子明显就是诸葛亮的最爱，重启之后表面看起来还行，干净了。

AVA 25.23083
GD 26.15796

*** 进程 ***

进程: 3804
文件名: a.exe
路径: C:\Users\Administrator\AppData\Roaming\a.exe

发行商：: 未知发行商
创建日期: 2020年2月4日 17:31:06
修改日期: 2020年2月4日 17:31:06

启动进程：: cmd.exe
发行商：: Microsoft Windows

*** 操作 ***

已加壳的程序文件，可能隐藏有恶意代码。
程序已更改可能危及系统的注册表项值。
程序正试图建立自启动项，以在系统启动时自动运行。
程序已将文件保存在系统文件夹。
可疑位置为启动区域。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\Administrator\AppData\Roaming\MICROSOFT\Windows\START MENU\Programs\Startup\xswl.lnk
C:\Users\Administrator\AppData\Roaming\a.exe
C:\Windows\桌面背景图片.bmp
C:\xswl\BZ.png
C:\xswl\ICO.ico

下列注册表项被删除：

\registry\machine\software\wow6432node\microsoft\windows\currentversion\run || xswl
\registry\user\s-1-5-21-1173843205-2768935696-3335642588-500\software\microsoft\windows nt\currentversion\winlogon || userinit

YGLRj9IJLCcqJyomBi0nKCcoJganQieXQieXYmJwKyeXcnIpJgbHcnIpJ5diYoAuJyknKSYGeXJycnJiYpArFv0om5AsJwfZcqKwKycnJycmBuxycnJyYmLwKCcoJygmBncqJwqHKycnJycmBocsJyknKSYGpyYnp3C6ouE1tnKi4TW2cmJicI5ycnCPcnJwn3JycnJiYnCvcoJygmJigJdycoCbcnJycmJigL5yknKSYmIAAA
规则版本： 5.0.152
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本： 76935

"C:\Users\Administrator\AppData\Roaming\a.exe"
MD5: F4D6BC93339248BD651C18173A7DBBED
"C:\Windows\System32\cmd.exe" /C "C:\Users\Administrator\Desktop\a.bat"
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41

显示全部楼层 · 发表于 2020-2-4 23:06:42

SEP Scan Miss，双击，监控B杀衍生物a.exe，本体留下，电脑没任何事！

[病毒样本] 神奇的bat

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源